Rkhunter 报告文件属性已更改

tag-icon tag-icon ubuntu rkhunter
Rkhunter 报告文件属性已更改

我正在运行完全更新的 Ubuntu 服务器 LTS 版本。今天我运行了 rkhunter(我时不时会这样做)。这是我得到的输出:

 Warning: The file properties have changed:
[15:52:25]          File: /bin/ps
[15:52:25]          Current hash: f22991ec93ae966c856d367f42fc3d8a484bd827
[15:52:25]          Stored hash : 1892268bf195ac118076b1b0f53e7a637eb6fbb3
[15:52:25]          Current inode: 142902    Stored inode: 130894
[15:52:25]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:25]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)



 Warning: The file properties have changed:
[15:52:33]          File: /usr/bin/ldd
[15:52:33]          Current hash: f1e2ca5aa3a28994e2cebb64c993a72b7d97b28c
[15:52:33]          Stored hash : 295d9cedb121a5e431a39a6d201ecd7ce5640497
[15:52:33]          Current inode: 2236210    Stored inode: 2234359
[15:52:33]          Current size: 5280    Stored size: 5279
[15:52:33]          Current file modification time: 1331165514 (07-Mar-2012 16:11:54)
[15:52:33]          Stored file modification time : 1295653965 (21-Jan-2011 15:52:45)



 Warning: The file properties have changed:
[15:52:37]          File: /usr/bin/pgrep
[15:52:37]          Current hash: 3eada9a96760f3e2c9111cfe32901d1432813c1d
[15:52:37]          Stored hash : ce265d0db9964b173fe5036f703a9b8d66e55df3
[15:52:37]          Current inode: 2229646    Stored inode: 2224867
[15:52:37]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:37]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)




Warning: The file properties have changed:
[15:52:41]          File: /usr/bin/top
[15:52:41]          Current hash: 6be13737d8b0950cea2f1ae3a46d4af713dbe971
[15:52:41]          Stored hash : c7b495ecef3982eeb6f08a511861b1a1ae8775e6
[15:52:41]          Current inode: 2229629    Stored inode: 2224862
[15:52:41]          Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:41]          Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)



Warning: The file properties have changed:
[15:52:53]          File: /usr/sbin/cron
[15:52:53]          Current hash: e783ca973f970aa8a4bf5edc670e690b33914c3d
[15:52:53]          Stored hash : 4718257a8060736b9058aed025c992f02a74a5a7
[15:52:53]          Current inode: 2224719    Stored inode: 2228839
[15:52:54]          Current file modification time: 1330965568 (05-Mar-2012 08:39:28)

我还遗漏了其他一些。我的服务器是否已被 root?我正在运行 fail2ban 并监控失败的 ssh 登录。什么也没出现。有人可以将这些哈希与他们的 Ubuntu Server (lts) 副本进行比较吗?请告诉我这些是误报.....

编辑:

这是所有具有奇数 md5 值的文件的列表:

kill
ps
ldd
pgrep
top
vmstat
w
watch
w.procps  
sysctl
cron

这看起来不太好。我将使用相同的发行版创建一个虚拟机并更新它,然后再次运行 rkhunter。如果我被黑客入侵了,他们究竟是如何进入的?SSH 在非标准端口上,我正在运行 fail2ban 并每天检查日志。我正在运行 apache,但 www-data 没有任何可写权限。我很困惑。

答案1

从时间戳来看,您似乎更新了 12 月 19 日 7:30 左右构建的几个程序。
修改时间戳应该是构建时间戳。这取决于它们如何移动到位。一些程序通过 /etc/alternatives 链接,符号链接将具有安装的时间戳。这可能是自动安全更新。

/var/log/apt/history.log从此检查您的文件。它可能被压缩和旋转,但可以使用zless. If you use aptitude to do your updates, check its log/var/log/aptitude.log` 读取。许多软件包都有 md5sum,可用于验证它们包含的文件是否未被修改。从包含比较校验和的只读媒体运行静态链接工具是最安全的。但是,如果您认为 md5 工具链没有被泄露,则可以使用本地文件。

此类程序rkhunter通常需要开关来启用更新其校验和数据库。您可能希望在运行更新之前运行该程序,然后在更新之后再次使用开关来捕获更改的哈希码。

答案2

你需要跑

sudo rkhunter --update --propupd

在任何手动或自动升级之后。我从这里获取:

我从这里拿走了对我来说非常完美。

一切顺利!

答案3

好吧,如果您的系统受到了损害,那么您无论如何都不能相信您的日志。

如果您自 2009 年以来没有运行过 rkhunter,并且您已经更新了系统,那么这些可能是误报。否则,是时候仔细查看您的备份了。

答案4

由于您提到 Ubuntu 确实带有 APT,发生这种情况是因为您通过更新可执行文件,apt update && apt upgrade但 rkhunter 的数据库没有相应更新。

要么做手动和:

sudo rkhunter --update --propupd

每次apt update && apt upgrade

或者自动地

/etc/rkhunter.conf集合中

PKGMGR='DPKG'

并在/etc/default/rkhunter集合中

APT_AUTOGEN="true"

相关内容